Sicherheits-Bulletin vom 9. Juli 2026: Authentifizierungs-Umgehung in miniOrange OTP, Datei-Upload in Blocksy Companion Pro, Plugin-Installation per CSRF in Divi Torque und Konto-Übernahme in Divi Form Builder
9. Juli 2026 · jproxx Security
Dies ist unser täglicher Sicherheits-Überblick, in dem wir die veröffentlichten Schwachstellen sichten und jene herausgreifen, die für den Betrieb von WordPress-Websites, Online-Shops und PHP-Anwendungen tatsächlich von Bedeutung sind. Jede Angabe in diesem Bulletin ist gegen die zugrunde liegende Primärquelle geprüft und am Ende des jeweiligen Abschnitts verlinkt. Der 9. Juli 2026 bringt eine große Zahl von Plugin-Lücken. Wir greifen vier besonders wirkungsstarke heraus — für alle liegt bereits eine Korrektur vor.
CVE-2026-14245 — Authentifizierungs-Umgehung in miniOrange OTP (kritisch)
Ausgerechnet im Anmelde- und Bestätigungs-Plugin miniOrange OTP Login, Verification and SMS
Notifications besteht in allen Versionen bis einschließlich 5.5.1 eine ohne Anmeldung
ausnutzbare Authentifizierungs-Umgehung. Der Handler für das Zurücksetzen von Passwörtern über
Ultimate Member prüft nicht serverseitig, ob der OTP-Schritt tatsächlich abgeschlossen wurde: Er
vertraut einem Sicherheits-Token, das das Plugin auch unauthentifizierten Besuchern ausliefert,
und übernimmt einen vom Angreifer gewählten Benutzernamen aus dem Parameter username_b. Da
weder das Einmalpasswort noch die Ziel-Identität an eine geprüfte Anfrage gebunden sind, lässt
sich der Ablauf für jedes Konto anstoßen. Ein Angreifer ohne Benutzerkonto kann so für einen
beliebigen Nutzer — auch einen Administrator — einen gültigen Zurücksetz-Link erzeugen, ein
neues Passwort setzen und die Kontrolle über das Konto und damit die gesamte Website übernehmen.
Ausnutzbar ist die Lücke nur, wenn das Ultimate-Member-Zusatzmodul zum Passwort-Zurücksetzen
aktiv und nicht auf reines Telefon-Zurücksetzen konfiguriert ist. Die National Vulnerability
Database vergibt einen CVSS-Wert von 9.8, stuft die Lücke damit als kritisch ein und ordnet sie
der Schwachstellenklasse CWE-862 (fehlende Autorisierung) zu. Behoben ist die Schwachstelle mit
Version 5.5.2, auf die Betreiber unverzüglich aktualisieren sollten.
Quellen: National Vulnerability Database — CVE-2026-14245 · miniOrange OTP — Plugin-Verzeichnis
CVE-2026-15158 — Datei-Upload mit Codeausführung in Blocksy Companion Pro (kritisch)
Im kostenpflichtigen Erweiterungs-Plugin Blocksy Companion Pro besteht in allen Versionen bis
einschließlich 2.1.46 ein ohne Anmeldung ausnutzbarer Datei-Upload. Das Zusatzmodul für eigene
Schriftarten entscheidet über die Zulässigkeit einer hochgeladenen Datei, indem es lediglich
prüft, ob der Dateiname die Zeichenketten „.woff2” oder „.ttf” enthält, statt die tatsächliche
Endung zu bestimmen. Weil es sich nur um eine Teilzeichenketten-Prüfung handelt, besteht ein
Name mit doppelter Endung wie shell.woff2.php die Schriftart-Prüfung, während die echte Endung
.php bleibt — die Datei wird gespeichert. Ein Angreifer kann so ohne Anmeldung eine
ausführbare PHP-Datei ablegen, anschließend aufrufen und damit beliebigen Code ausführen, was
zur vollständigen Übernahme von Website und Server führt. Der verwundbare Pfad ist nur
erreichbar, wenn das Pro-Plugin mit dem Schriftart-Modul und der WooCommerce-Erweiterung für
„Advanced Reviews” betrieben wird; die kostenlose Basis-Version Blocksy Companion (über 200.000
Installationen) ist nicht betroffen. Die National Vulnerability Database vergibt einen CVSS-Wert
von 9.8, stuft die Lücke als kritisch ein und ordnet sie der Schwachstellenklasse CWE-434
(unbeschränkter Upload gefährlicher Dateitypen) zu. Behoben ist die Schwachstelle mit Version
2.1.47, auf die Betreiber unverzüglich aktualisieren sollten.
Quellen: National Vulnerability Database — CVE-2026-15158
CVE-2026-4275 — Plugin-Installation per CSRF in Divi Torque Lite (hoch)
Im Erweiterungs-Plugin Divi Torque Lite für den Divi-Builder besteht in allen Versionen bis
einschließlich 4.2.3 eine Schwachstelle vom Typ Cross-Site Request Forgery (CSRF). Das Plugin
registriert seine Schnittstellen zum Installieren und Aktivieren von Plugins mit einer
Berechtigungs-Prüfung, die stets „wahr” zurückgibt (__return_true), sodass die Endpunkte weder
eine Rechteprüfung noch eine Absicherung gegen gefälschte Anfragen durchführen. Ein Angreifer
kann daher eine Anfrage vorbereiten, die der Browser eines angemeldeten Administrators mitsamt
dessen Sitzungs-Cookie absendet, sobald dieser eine präparierte Seite öffnet. Auf diese Weise
lässt sich ein beliebiges Plugin aus dem WordPress.org-Verzeichnis installieren und aktivieren —
und über ein vom Angreifer gewähltes Plugin unmittelbar eigener PHP-Code ausführen, was der
vollständigen Übernahme der Website gleichkommt. Die National Vulnerability Database vergibt
einen CVSS-Wert von 8.8, stuft die Lücke als hoch ein und ordnet sie der Schwachstellenklasse
CWE-352 (Cross-Site Request Forgery) zu. Behoben ist die Schwachstelle mit Version 4.2.4, auf die
Betreiber unverzüglich aktualisieren sollten.
Quellen: National Vulnerability Database — CVE-2026-4275 · Divi Torque — Plugin-Verzeichnis
CVE-2026-5523 — Konto-Übernahme in Divi Form Builder (hoch)
Im Formular-Plugin Divi Form Builder besteht in allen Versionen bis einschließlich 5.1.8 eine
fehlende Eigentümer-Prüfung im Ablauf zur Benutzer-Registrierung. Die Routine zum Aktualisieren
eines Kontos (update_user()) übernimmt eine vom Aufrufer übermittelte Ziel-Benutzerkennung aus
den Formulardaten, statt die Änderung auf das eigene Konto der aktuellen Sitzung zu begrenzen; die
übergeordnete Prüfung stellt lediglich fest, ob überhaupt ein Nutzer angemeldet ist, nicht aber, ob
dieser das referenzierte Konto bearbeiten darf. Weil das Zielkonto über einen vom Nutzer
kontrollierten Schlüssel gewählt wird, kann die Anfrage jedes bestehende Konto benennen — auch das
eines Administrators. Ein angemeldeter Nutzer mit bloßen Abonnenten-Rechten kann so E-Mail-Adresse
und Passwort eines beliebigen anderen Kontos überschreiben; das Zurücksetzen der Administrator-
Zugangsdaten verschafft dem Angreifer einen vollwertigen Administrator-Zugang, was der
vollständigen Übernahme der Website gleichkommt. Die National Vulnerability Database vergibt einen
CVSS-Wert von 8.8, stuft die Lücke als hoch ein und ordnet sie der Schwachstellenklasse CWE-639
(Autorisierungs-Umgehung über einen nutzerkontrollierten Schlüssel) zu. Behoben ist die
Schwachstelle mit Version 5.1.9, auf die Betreiber unverzüglich aktualisieren sollten.
Quellen: National Vulnerability Database — CVE-2026-5523
Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.
Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.